Início / unix / Perguntas / 534131
Accepted
roaima
Asked: 2019-08-07 04:40:37 +0800 CST

rsync daemon com a aplicação da política selinux rsync_export_all_ro ainda impede o acesso a arquivos em /var/spool/postfix/private/

  • 772

Eu tenho vários sistemas baseados em Debian que são copiados regularmente usando arquivos rsync. Por vários motivos, tive que implantar um pequeno servidor CentOS 7 e quero adicioná-lo ao meu agendamento de backup. Não pode ser feito backup usando rsync sobre ssh; em vez disso, preciso usar o daemon rsync.

O CentOS tem o SELinux habilitado no modo de imposição, então isso me colocou em uma curva de aprendizado íngreme.

A rsyncdseção de configuração (simplificada)

[root]
    comment = Filesystem
    path = /
    exclude = /proc/*** /run/*** /sys/*** [...]
    read only = yes
    list = yes
    uid = root
    secrets file = [...]
    ignore errors = no
    ignore nonreadable = no
    refuse options = delete

Eu acredito que o processo está rotulado corretamente:

ps -eZ | grep rsync
system_u:system_r:rsync_t:s0    26020 ?        00:00:00 rsync

Inicialmente, a tentativa de backup por meio do rsyncdaemon falhou com todos os tipos de erros de permissão que atribuí aos rótulos do SELinux. Cavando mais, encontrei uma referência a uma política SELinux que permite que o rsyncdaemon exporte todos os arquivos somente leitura:

setsebool -P rsync_export_all_ro 1

Isso resulta neste conjunto

getsebool -a | grep '^rsync'
rsync_anon_write --> off
rsync_client --> off
rsync_export_all_ro --> on
rsync_full_access --> off

Infelizmente, isso ainda não me dá acesso a todos os arquivos no sistema. Especificamente, tenho alguns arquivos /var/spool/postfix/privateque são ilegíveis:

rsync: readlink_stat("/var/spool/postfix/private/defer" (in root)) failed: Permission denied (13)
rsync: readlink_stat("/var/spool/postfix/private/trace" (in root)) failed: Permission denied (13)
rsync: readlink_stat("/var/spool/postfix/private/verify" (in root)) failed: Permission denied (13)
rsync: readlink_stat("/var/spool/postfix/private/proxymap" (in root)) failed: Permission denied (13)
...

Uma entrada de exemplo relacionada a /var/spool/postfix/privatefrom audit2why -asegue. Observe que nenhuma das entradas faz referência a rsync_export_all_ro:

type=AVC msg=audit(1565118203.332:21775): avc:  denied  { getattr } for  pid=26597 comm="rsync" path="/var/spool/postfix/private/scache" dev="dm-0" ino=9148374 scontext=system_u:system_r:rsync_t:s0 tcontext=system_u:object_r:postfix_private_t:s0 tclass=sock_file permissive=0
        Was caused by:
        The boolean rsync_full_access was set incorrectly.
        Description:
        Allow rsync to full access

        Allow access by executing:
        # setsebool -P rsync_full_access 1

Não entendo por que há uma referência a rsync_full_access(que não quero definir e não deveria ser acionada de qualquer maneira), mas nenhuma a rsync_export_all_ro.

No interesse de obter um backup completo, como posso adicionar esta árvore de diretórios ao conjunto de arquivos que podem ser exportados pelo rsyncdaemon? (E para que essa mudança seja persistente nas reinicializações.)

centos rsync

1 respostas

  1. Best Answer

    Você está certo em não querer desabilitar o SELinux para o rsync_tdomínio. Infelizmente, embora a configurabilidade da implementação do SELinux para rsync seja bastante extensa, existem casos extremos em que definir o rsync_export_all_roboolean ainda não permitirá que o daemon rsync acesse determinados arquivos. Há uma entrada do Bugzilla que se assemelha muito aos seus problemas. A sugestão dada é usar rsync_full_accesspara superar o problema, embora prejudicando a segurança (ainda é melhor do que semanage permissive -a rsync_tembora).

    Criando módulo de política personalizado

    Portanto, para responder à sua pergunta, se você deseja usar a opção mais segura rsync_export_all_ro e permitir que o daemon rsync acesse os arquivos/diretórios "edge case", você precisa criar seu próprio módulo de política.

    Isso é feito deixando o daemon rsync fazer seu trabalho no modo permissivo, capturando negações de AVC à medida que avança e, em seguida, convertendo as negações de AVC em uma política, assim:

    # put SELinux in permissive mode
setenforce 0

# --- do your rsync stuff ---

# get related AVC denials
# I'm using 'recent' here, depending on the rsync run time please adjust accordingly
ausearch -m avc -ts recent --subject rsync_t

# go through the output. If you're satisfied, create the module
ausearch -m avc -ts recent --subject rsync_t | audit2allow -m roaima-rsync-custom-1 > roaima-rsync-custom-1.te
checkmodule -M -m -o roaima-rsync-custom-1.mod roaima-rsync-custom-1.te
semodule_package -o roaima-rsync-custom-1.pp -m roaima-rsync-custom-1.mod

# load the policy module
semodule -i roaima-rsync-custom-1.pp

# disable permissive mode
setenforce 1

# --- do your rsync stuff again --

    Capturando negações de AVC que não são auditadas ("dontaudit")

    Se, por algum motivo, os arquivos "edge case" ainda não estiverem acessíveis e o ausearchcomando não produzir resultados, você pode estar atingindo uma regra "dontaudit".

    Para reconstruir a política SELinux ignorando todas as regras "dontaudit", execute semodule -DB. A -Dopção desabilita as regras de "não auditoria"; a -Bopção reconstrói a política.

    Em seguida, tente se você pode acionar eventos de log de auditoria. Em caso afirmativo, capture-os como mostrei acima, crie o módulo SELinux e reative as regras "dontaudit" executando: semodule -B.

    Para obter uma lista completa de regras "dontaudit", execute o sesearch --dontauditcomando. Restrinja as pesquisas usando a -sopção de domínio e o grepcomando. Por exemplo: sesearch --dontaudit -s rsync_t.

    • 4

relate perguntas